О tools, хороших и разных

[Hatih]

Штатными средствами (iptables) делается system-wide firewall. Про firewall per application nикогда не слышал. Сделать, наверно, не сложно, но возникает вопрос - а как аплицакцию идентифицировать? По имени, что ли? Можно, конечно на каждый новый socket разрешения спрашивать, только сомневаюсь я, что после десятка ОК не задолбает вас на кнопочку жать...

Проще (и по-нашему, по униксовски ), перед запуском подозрительной програмы закрыть firewall наглухо, а потом log посмотреть.

[Drusha]

Штатными средствами можно определить адреса, куда никому нельзя ходить, а определить приложения, которым никуда нельзя ходить - нет. Я пока не нашел, как это сделать в Линуксе, а под виндами - нет проблем.
И почему я должен копировать фонты из виндов для линукса, а не использовать родные? В линуксе кстати, много шрифтов в дистрибутиве, но они все похожие.
А что, девелоперы только с тулзами работают, а в command prompt - ни ногой??? Я вообще-то девелоплю не GUI и игрушки, так что и сервер мне нужен(I prefer Linux), и тулзы (I prefer Windows - like).
Так что всем место есть

[f_evgeny]

Штатными средствами можно определить адреса, куда никому нельзя ходить, а определить приложения, которым никуда нельзя ходить - нет. Я пока не нашел, как это сделать в Линуксе, а под виндами - нет проблем.

Code: Select all

 Linux Kernel v2.6.1 Configuration                                                                              
Owner match support 
 CONFIG_IP_NF_MATCH_OWNER:                                                                               
                                                                                                     
Packet owner matching allows you to match locally-generated packets                                     x   
based on who created them: the user, group, process or session.                                                                                                       
To compile it as a module, choose M here.  If unsure, say N.                                                                                                

[f_evgeny]

зачем? Нет я серьезно непонимаю чем знание X-в мне может помочь?

...я человек добродушный, я джентльмен; однако я вижу,
что дело серьезное. Долг прежде всего, ребята. И я голосую - убить.

(C) Джон Сильвер

Про это и разговор, что МС и его люди не интересуется, как и что делают другие, они предпочитают изобретать свои, ни с чем не совместимые велосипеды. Дело серьезное. И я голосую - убить!

[cityzen]

Code: Select all

 Linux Kernel v2.6.1 Configuration                                                                              
Owner match support 
 CONFIG_IP_NF_MATCH_OWNER:                                                                               
                                                                                                     
Packet owner matching allows you to match locally-generated packets                                     x   
based on who created them: the user, group, process or session.                                                                                                       
To compile it as a module, choose M here.  If unsure, say N.                                                                                                

--uid-owner userid
Matches if the packet was created by a process with the given effective (numerical) user id.

--gid-owner groupid
Matches if the packet was created by a process with the given effective (numerical) group id.

--pid-owner processid
Matches if the packet was created by a process with the given process id.

--sid-owner sessionid
Matches if the packet was created by a process in the given session group.

[f_evgeny]

--pid-owner processid
Matches if the packet was created by a process with the given process id.

В чем причина веселья?

[cityzen]

--pid-owner processid
Matches if the packet was created by a process with the given process id.

В чем причина веселья?

А что есть возможность назначать постоянные pid прилижениям?

[f_evgeny]

--pid-owner processid
Matches if the packet was created by a process with the given process id.

В чем причина веселья?

А что есть возможность назначать постоянные pid прилижениям?

Не уверен, но можно их читать.

[geek7]

зачем? Нет я серьезно непонимаю чем знание X-ов мне может помочь?

Про это и разговор, что МС и его люди не интересуется, как и что делают другие, они предпочитают изобретать свои, ни с чем не совместимые велосипеды. Дело серьезное. И я голосую - убить!

Надеюсь перед исполнением высшей меры мне позволят обжаловать приговор
Вы бы дя начала господам присяжным заседателям перечислили велосипеды авторство которых мне приписываете.
Я всю жизнь думал что уж какой программистской добродетелью я не обижен так это ленью
Так рискну повторить вопрос для тех кто в юниксе:
чем знание X-ов мне может помочь?

[cityzen]

--pid-owner processid
Matches if the packet was created by a process with the given process id.

В чем причина веселья?

А что есть возможность назначать постоянные pid прилижениям?

Не уверен, но можно их читать.

Т.е. чтобы, скажем, запретить выход MПлееру в Интернет я должен сначала его запустить, посмотреть его pid и затем сконфигурить ipcahins. Фича вроде есть, но практически бесполезная. Зато, я уверен, можно написать перловый скрипт, который будет делать это автоматом. Unix way at its best

[f_evgeny]

--pid-owner processid
Matches if the packet was created by a process with the given process id.

В чем причина веселья?

А что есть возможность назначать постоянные pid прилижениям?

Не уверен, но можно их читать.

Т.е. чтобы, скажем, запретить выход MПлееру в Интернет я должен сначала его запустить, посмотреть его pid и затем сконфигурить ipcahins. Фича вроде есть, но практически бесполезная. Зато, я уверен, можно написать перловый скрипт, который будет делать это автоматом. Unix way at its best

Да тут перл не нужен, достаточно обертки на шелле, которая или будет запускать прогу смотреть PID, и вставлять правила, или как вариант запускаться, смотреть свой PID, вставлять правила, а затем запуткать вместо себя (с тем же пидом) прогу.
И почему фича бесполезная? Нормальная вполне себе фича.

[cityzen]

Вот именно. Фича есть, но без рубанка и молотка никуда.

[Drusha]

Да тут перл не нужен, достаточно обертки на шелле, которая или будет запускать прогу смотреть PID, и вставлять правила, или как вариант запускаться, смотреть свой PID, вставлять правила, а затем запуткать вместо себя (с тем же пидом) прогу.

И вот так всегда с сисадминами - пришпандорить скрипт, а что работать неудобно - пофиг, они совет дали. В виндах-то (которые конечно "маздай форева") все как-то дружелюбнее.
Чего для линуха нормальный KDE не сделать - ведь не первая версия, не первый год. Тогда-бы се свалили с виндов. Такое ощущение, что делали специльно криво, что-бы MS конкуренции небыло в desktop-секторе.

[f_evgeny]

Надеюсь перед исполнением высшей меры мне позволят обжаловать приговор
Вы бы дя начала господам присяжным заседателям перечислили велосипеды авторство которых мне приписываете.
Я всю жизнь думал что уж какой программистской добродетелью я не обижен так это ленью
Так рискну повторить вопрос для тех кто в юниксе:
чем знание X-ов мне может помочь?

Ну, хотя бы то, что X-ы - графическая система полностью реализованная через сеть и как это сделано.

[f_evgeny]

И вот так всегда с сисадминами - пришпандорить скрипт, а что работать неудобно - пофиг, они совет дали. В виндах-то (которые конечно "маздай форева") все как-то дружелюбнее.
Чего для линуха нормальный KDE не сделать - ведь не первая версия, не первый год. Тогда-бы се свалили с виндов. Такое ощущение, что делали специльно криво, что-бы MS конкуренции небыло в desktop-секторе.

Это почему неудобно? Ну, Вы блин даете! (С) обертка будет с тем же именем, что Ваша прога, так что все будет нормально. Хорошо было бы, если бы в Виндах все программы читали настройки еще и из переменных окружения, можно бы тоже было бы делать обертки.

[cityzen]

Это почему неудобно? Ну, Вы блин даете! (С) обертка будет с тем же именем, что Ваша прога, так что все будет нормально.

И с той же иконкой на десктопе? Или опять "привыкли руки к топорам"?

[f_evgeny]

Это почему неудобно? Ну, Вы блин даете! (С) обертка будет с тем же именем, что Ваша прога, так что все будет нормально.

И с той же иконкой на десктопе? Или опять "привыкли руки к топорам"?

У меня - да. Зависит от путей, как впрочем и в Виндовс.
И, кстати, у меня иконки только для очень часто запускаемых программ, все остальное значительно удобнее запускать из командной строки.

[A. Fig Lee]

не, ну кашу сварить конечно можно..
Через
$netstat -nra
или
$sockstat
посмотрели пид процесса который владеет конкретным портом, из пида узнали имя, файрвол когда работает, знает сокет, соответственно все данные есть.
Но опять же - смысл?
Во первых, на УНИХе или обычно компайлим из сусрсов, или даунлодим байнари - как правило есть мд5. Соответственно, за программу отвечают.
Ну не верим мы им, ладно, сам такой.
Запустил программу, потом нетстат или соцкстат, увидел куда он полез. Убил программу все понял, больше незапускаю. Если он кудато лезет, и я уже ему не доверяю, не буду я запускать даже под файрволлом.

[A. Fig Lee]

--pid-owner processid
Matches if the packet was created by a process with the given process id.

В чем причина веселья?

А что есть возможность назначать постоянные pid прилижениям?

sid можно использовать и пользоватся оболочкой или запускать из под другого узера - много возможностей для пытливого ума.

[Strannik223]

Да смысл то какой. Уж если вы трояна у себя запустили то как минимум наивно его с помошью firewall ловить. Он вашу инфу соберет и от вашего имени используя outlook отправит куда надо. И на что вы фильтр настраивать будете на outlook?
Для справки, в FreeBSD есть подсистима jail которая позволяет запустить процесс обрубив ему то что не надо: доступ к директориям, сети, итд. Вот это и есть unix way. А fancy firewall со свистками и мигалками пусть радуют тех кто не понимает в security но смело бросается рассуждать что у винды firewall круче.

[SlavickP]

Для справки, в FreeBSD есть подсистима jail которая позволяет запустить процесс обрубив ему то что не надо: доступ к директориям, сети, итд. Вот это и есть unix way.

Подсистема, говорите? Интересно. Я вот по простоте душевной запускаю Internet Explorer с правами учётной записи, не имеющей никаких прав в системе (работаю администратором) - но это, конечно, не unix way, потому что без подсистемы. Но фича, судя по вашему описанию, очень полезная. Дайте, пожалуйста, ссылку на документ, который позволяетв FreeBSD создать jail процессу, чтобы он имел возможность доступа к единственному IP-адресу, порт 443.

[A. Fig Lee]

Я вот по простоте душевной запускаю Internet Explorer с правами учётной записи, не имеющей никаких прав в системе (работаю администратором)

Ето че было?

[SlavickP]

Ето че было?

Учётная запись = account. Надеюсь, теперь понятно.

Про подсистему поделиться информацией сможете? Это ж FreeBSD, ваша епархия, судя по аватаре.

[A. Fig Lee]

Ето че было?

Учётная запись = account. Надеюсь, теперь понятно.

Про подсистему поделиться информацией сможете? Это ж FreeBSD, ваша епархия, судя по аватаре.

Aaaaaa... account..

http://www.freebsd.org/doc/en_US.ISO885 ... hroot.html

Никогда им правdа не пользовался.
Все сендбоксами больше.

[SlavickP]

http://www.freebsd.org/doc/en_US.ISO8859-1/books/developers-handbook/secure-chroot.html

С этим хорошо по Линуксу знаком. Заинтересовала упомянутая Strannik223'ом возможность подсистемы jail обрубать доступ к сети (оригинальная лексика сохранена) в FreeBSD. Похоже, снова некомпетентность и профанация?